Marco's Informatik Blog

Non mi riferisco al simpatico cane con le ampie orecchie (molto carino), ma ad uno dei più fetenti virus/rootkit della storia informatica.
Si tratta di roba di 2 anni fa, però può capitare che ogni tanto si ripresenti.
Si riconosce bene la sua presenza in quanto cercando di far partire software antivirus o Combofix, ci ritorna l’errore “Questa non è un applicazione Win32 valida” e di solito la modalità provvisioria non parte.
Allora intanto potremmo cercare di ripristinare il safe mode scaricando questo file ed integrare SafeBoot.reg al nostro registro, ma non sempre è un operazione che riesce, in caso provare anche qui.
Inoltre scaricare Combofix.exe però salvate su disco con un ALTRO nome, ad esempio abc.exe e non eseguitelo con il doppio click, ma aprite una finestra dos con CMD ed eseguite così

abc.exe /killall

A questo punto dovrebbe disinfestare tutto, potrebbe trovare una lista infinita di files
Magari poi è bene usare anche altri tools, come SuperAntiSpyware e MalwareBytes per togliere tutti i rimasugli!

UPDATE: Può esserci anche il caso che quasi tutti i file di sistema siano stati infettati, in  tal caso è necessario effettuare un’installazione di ripristino, in modo da recuperare tutti gli eseguibili, dll ed i vari file di sistema puliti.

Social Bookmarks

Hide Sites

Quando vi troverete a preparare i certificati per OpenVPN con Windows(easy-rsa) potrete incappare in un piccolo problema, non esiste più lo script per permette di assegnare una password al certificato.
Questo script si chiamava build-key-pass.bat e permetteva di associare una password al PKI, in modo che per collegarsi con OpenVPN sia necessario anche digitare una password (magari in caso di furto del laptop!)
Comunque sia prendete lo script build-key.bat, editatelo e cancellate l’opzione -nodes.
In questo modo quando lancerete lo script vi verrà anche chiesta una password PEM, che al momento della connessione sarà richiesta.

Social Bookmarks

Hide Sites

Ultimamente sta girellando molto questo malware, che si presenta come un normale antivirus con tanto di pannello di configurazione e falso centro di controllo sicurezza di windows.
Non è impossibile da rimuovere, basta usare il solito Combofix e questo tools.

Social Bookmarks

Hide Sites

Probabilmente molti di voi già conoscevano questo sito, ma io ne apprendo l’esistenza solo oggi scorrazzando su del.icio.us, la NSA ovvero National Security Agency è l’agenzia USA che, anche coordinando CIA e FBI, si occupa della sicurezza nazionale.
Questo sito contiene una serie di guide sulla configurazione di sicurezza sia dei principali sistemi operativi sia di apparati quali firewall, IDS, router, programmazione e così via, sia sistemi proprietari che open source.
Queste guide certo non hanno la pretesa (almeno quelle che ho letto) di essere completamente esaustive, ma sicuramente dettano una linea guida su come “aumentare” la sicurezza di tali sistemi e/o programmi.
Buona lettura!

Social Bookmarks

Hide Sites

Mio malgrado mi sono ritrovato ad installare un aggiornamento ad Norton 2008 su una macchina non vecchissima, un P4 1.6Ghz con 512MB di ram.
Allora da quando ho messo il cd a quando tutto era funzionante (aggiornamenti compresi) sono passati la bellezza di …… 45 minuti!!!!!!!!!!!
Ma dico io è mai possibile? Perchè AV come AVG o Antivir ci mettono al massimo 5 minuti in macchine così vecchie?
I fatti sono due o Norton 2008 è un pachiderma inutile, oppure gli altri antivirus non sono così efficienti…ma sappiamo bene quale dele due sia la realtà!

Social Bookmarks

Hide Sites

Può essere necessario, sia usando IIS che Apache, possedere un certificato per le connessioni SSL.
Di solito i certificati vengono rilasciati da terze parti autorizzate, che hanno “reputazione globale” e quindi rilasciano certificati per soggetti “sicuri”, però può essere necessario disporre di un certificato fai da te, per i nostri siti web.
Per fare questo basterà ricorrere ad OpenSSL, praticamente presente in tutte le distribuzioni linux.

openssl req \
-x509 -nodes -days 365 \
-newkey rsa:1024 -keyout mycert.pem -out mycert.pem

Così semplicemente, immettendo i dati richiesti a video, creeremo il nostro certificato.
Se ad esempio vorremmo usarlo in IIS 6, dovremmo convertirlo in PKCS#12 (.pfx) semplicemente facendo

# export mycert.pem as PKCS#12 file, mycert.pfx
openssl pkcs12 -export \
-out mycert.pfx -in mycert.pem \
-name “My Certificate”

Social Bookmarks

Hide Sites

Ancora Windows, in questi giorni ho una palestra offerta dal pc di un cliente.
Adesso era IExplorer che non partiva, pensa pensa come mai, poi alla fine ho scoperto che rinominandolo mi partiva, altrimenti mi veniva restituito da windows un errore, di tipo “file non trovato”, ma il file c’era eccome.
Bene ho trovato il motivo, nel registro di windows c’è questa chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

che in ogni caso non dovrebbe esistere, sia per iexplore.exe che per explorer.exe.
In questo caso puntava ad un virus, il cui nome del file era iexpl_32.exe..
Il motivo per il quale mi veniva detto file non trovato, che quel file li era stato cancellato dall’antivirus!
Cancellata la chiave, ed iexplore.exe è ripartito senza problemi!

Social Bookmarks

Hide Sites

Volete sapere quel’è?
Bhe sembrerebbe essere un prodotto italiano! In ogni caso su questo sito troverete tutte le risposte

http://www.av-comparatives.org

Tra i miei preferiti ci sono sicuramente Antivir (free) e Kaspersky (a pagamento).
Anche se per debellare le minacce di solito è opportuno fare “più passate” con diversi antivirus!

Social Bookmarks

Hide Sites

Forse molti di voi già lo conoscono, mentre chi no deve sapere che delle volte la Micro$oft propone utility veramente utili!
E’ il caso di questo Robocopy, un’evoluzione del classico XCOPY che presenta una miriade di opzioni, per copiare (ma non solo) files da un server all’altro (o tra dischi).
Diciamo l’uso più comune è mantenere copia di un archivio su un altro server (perchè no un NAS, magari volendo conservare gli attributi di sicurezza), oppure creando una copia specchio (mirroring), tutto questo magari in maniera automatica utilizzando le “operazioni pianificate”.
Vediamo due esempi, la semplice copia e il mirroring (occhio che questa seconda maniera può essere pericolosa, nel senso che se un file viene cancellato accidentalmente nel sorgente, sarà cancellato anche nell’archivio di backup alla successiva esecuzione dello script, proprio perchè trattasi di mirroring!!)

Copia semplice di tutti attributi, creazione di file di log e mantenimento informazioni dei file

robocopy “\\srv1\SOURCE” “F:\DEST” /COPYALL /SEC /V /NP /E /W:5 /R:1 /LOG:”c:\robocopy.log”

Mirroring delle cartelle con mantenimento informazioni di sicurezza

robocopy “\\srv1\SOURCE” “F:\DEST” /MIR /SEC /V /NP /W:5 /R:1 /LOG:”c:\robocopy.log”

Io sconsiglio di mettere cadenzato il /MIR, per evitare perdite accidentali di dati nell’archivio di “sicurezza”, causato da errori umani, magari lo potete lanciare di tanto in tanto per ripulire l’archivio e manterlo coerente con quello sorgente, con una sorta di purge.
Per una descrizione su tutti i comandi potete fare riferimento a questo link.

Social Bookmarks

Hide Sites

Una possibiilità molto interessante per creare un server OpenVPN è quello di utilizzare IPCop con l’addon Zerina.
Anche se però un firewall che si rispetti deve avere la possibilità di filtrare anche le connessioni in uscita e tra varie interfacce del firewall (DMZ e/o Wifi), cosa di cui si occupa il modulo BOT.
Vi risparmio l’installazione dei vari moduli che comunque è ben descritta sui rispettivi siti, ma vediamo come configurarli per poter interagire.
Una volta creato il server OpenVPN e creato i vari utenti, certificati ed altro, configureremo BOT per l’accesso remoto al server e per permettere ai roadrunner di raggiungere alcuni server in LAN, o tutta la LAN.

Andiamo a crearci un servizio in ADVANCED BOT Config, la porta usata dal nostro server ed il protocollo (non dimentichiamoci che OpenVPN funziona sia su tcp che udp)

Adesso sarà necessario ovviamente permettere l’accesso dall’esterno a questa porta, nell’apposita sezione External Access del firewall.

Adesso sarà necessario “creare un interfaccia” in modo che BOT gestisca la tun/tap.

Ancora in ADVANCED BOT Config, creeremo stavolta una interfaccia custom, che sarà o tun0 o tap0

Finita la parte difficile
Adesso dovremmo solo decidere cosa e dove i road-warrior potranno andare, mettiamo come esempio che dovranno accedere ad un server Dominio nella lan e solo a quello.
Quindi semplicemente imposteremo una regola DROP che avrà come sorgente l’interfaccia custom appena creata, e come destinazione l’interfaccia green e la green network.
Poi un altra regola ACCEPT che avrà come destinazione l’interfaccia green e come host l’ip del server Dominio.
IMPORTANTE : L’ordine delle regole è fondamentale, quindi la regola ACCEPT dovrà precedere la regola DROP. (questo è necessario solo se la politica predefinita è ACCEPT, mentre se è DROP, quest’ultima regola non è necessaria impostarla.)
E questo è tutto!!!

Social Bookmarks

Hide Sites